Microsoft 發布了針對 RoguePlanet 的修復程序,這是一個公開披露的 Microsoft Defender 零日漏洞,編號為 CVE-2026-50656。此缺陷會影響 Microsoft 惡意軟體防護引擎,並可能讓本機攻擊者在易受攻擊的 Windows 系統上提升權限。
該修復透過 Microsoft 惡意軟體防護引擎版本 1.1.26060.3008 發布。微軟在報告中列出了這個問題CVE-2026-50656 安全公告,而當前的Microsoft Defender 更新頁面顯示與最新版本相同的引擎版本。
RoguePlanet 很重要,因為 Microsoft Defender 以高權限運行來掃描、隔離和刪除威脅。如果攻擊者已經以低權限使用者的身分執行本機程式碼,他們就可以利用該缺陷尋求系統級控制。
微軟修復了什麼
CVE-2026-50656 是 Microsoft 惡意軟體保護引擎中的權限提升漏洞,該引擎是 Microsoft Defender 防毒軟體和其他 Microsoft 反惡意軟體產品背後的核心掃描引擎。
這CVE-2026-50656 的 NVD 條目將受影響的產品列為 Microsoft 惡意軟體防護引擎,並顯示從 1.1.0.0 開始到 1.1.26060.3008 之前結束的受影響版本。
Microsoft 的修復將引擎更新至 1.1.26060.3008。在成功安裝 Defender 引擎更新之前,運行早期引擎版本的系統應被視為已公開。
| 物品 | 細節 |
|---|---|
| CVE | CVE-2026-50656 |
| 公眾號 | 俠盜星球 |
| 產品領域 | 微軟惡意軟體防護引擎 |
| 漏洞類型 | 特權提升 |
| 固定引擎版本 | 1.1.26060.3008 或更高版本 |
RoguePlanet 本身並不會向攻擊者提供遠端存取權限。攻擊者必須已經能夠在電腦上本地運行程式碼,例如透過低特權帳戶、惡意軟體立足點或其他早期階段的妥協。
一旦存在本地立足點,該缺陷就會變得很有價值,因為 SYSTEM 是 Windows 上的最高本機權限等級。透過系統訪問,攻擊者可能會篡改安全工具、竊取憑證、安裝持久性或深入環境。
BleepingComputer 報導稱,RoguePlanet 在 2026 年 6 月星期二補丁發布後被公開披露,並且概念驗證是在微軟正常的協調披露流程之外共享的。這電腦發出響聲報告也表示,該問題被描述為競爭條件,可能會產生具有系統權限的命令提示字元。
- 該缺陷需要本地存取。
- 攻擊者可以在本地運行程式碼後無需用戶互動。
- 公共名稱 RoguePlanet 指的是與 Defender 漏洞相關的漏洞。
- 該修復是透過惡意軟體防護引擎提供的,而不是普通的 Windows 功能更新。
- 組織應跨託管端點驗證引擎版本。
該漏洞如何在高層次上發揮作用
微軟將該缺陷歸因於文件訪問之前的不正確連結解析。當特權程序以攻擊者可以影響的方式處理檔案路徑、連結或重定向時,可能會出現這種類型的弱點。
這Microsoft Defender 防毒更新文檔解釋說,引擎更新附帶安全情報更新,Defender 會定期下載這些更新以保持最新的保護。
由於惡意軟體防護引擎作為端點保護堆疊的一部分運行,因此檔案處理錯誤可能會帶來嚴重影響。贏得比賽的本地攻擊者可以使特權防禦者進程執行有助於提升特權的操作。
| 安全細節 | 對防守者的意義 |
|---|---|
| 本地攻擊向量 | 攻擊者首先需要在目標裝置上執行程式碼 |
| 所需權限低 | 標準本地用戶或低權限有效負載可能就足夠了 |
| 無用戶交互 | 一旦本地執行存在,受害者就不需要點擊提示 |
| 系統級影響 | 成功利用可能會提供完全的本地控制 |
哪些版本受到影響
安全團隊應該專注於引擎版本而不僅僅是 Windows 版本。這國家漏洞資料庫顯示 1.1.26060.3008 之前的 Microsoft 惡意軟體防護引擎版本受到影響。
這意味著如果 Defender 或其他 Microsoft 反惡意軟體產品使用易受攻擊的引擎版本,Windows 10 和 Windows 11 系統都可能相關。離線設備、暫停的更新環、黃金映像、VDI 池和很少重新啟動的端點值得額外關注。
修復版本為1.1.26060.3008或更高版本。如果管理員的端點工具可以直接報告 Defender 引擎版本,則管理員不應僅依賴成功的 Windows 更新狀態。
| 引擎版本 | 地位 |
|---|---|
| 早於 1.1.26060.3008 | 潛在的脆弱性 |
| 1.1.26060.3008 | 修補 CVE-2026-50656 |
| 晚於 1.1.26060.3008 | 包含修復(假設更新安裝正確) |
使用者如何查看Defender引擎版本
大多數家庭用戶應該會自動收到更新,因為 Defender 在後台更新其引擎和安全性智慧。不過,手動檢查可以確認補丁已經落地。
微軟的Defender 安全情報更新頁面列出最新的引擎版本、平台版本、發佈時間、安全情報版本。使用者可以將該資訊與 Windows 安全性中顯示的引擎版本進行比較。
在 Windows 上,開啟 Windows 安全,前往病毒和威脅防護,檢查防護更新,然後開啟關於以檢視引擎版本。如果引擎版本早於 1.1.26060.3008,請再次執行更新並確保裝置可以存取 Microsoft 更新服務。
- 開啟 Windows 安全性。
- 選擇病毒和威脅防護。
- 開啟保護更新並檢查更新。
- 打開“設定”並選擇“關於”。
- 確認引擎版本顯示 1.1.26060.3008 或更高版本。
企業管理員該做什麼
企業團隊應驗證整個端點群組的更新。 RoguePlanet 是一個本地升級漏洞,因此當與網路釣魚、惡意軟體執行、遠端存取濫用或其他初始存取路徑結合使用時,它會變得非常危險。
這Microsoft Defender 更新指南指出 Defender Antivirus 使用雲端提供的保護和定期安全情報更新。管理員應確認更新策略、代理、防火牆和管理環不會阻止引擎交付。
組織也應檢查 Defender 顯示已停用但 Microsoft 反惡意軟體元件仍安裝的端點。掃描器可能仍會對磁碟上的檔案進行標記,但實際暴露程度取決於易受攻擊的引擎是否正在運作且在受影響的配置中是否可存取。
- 跨 Windows 端點審核 Defender 引擎版本。
- 優先考慮錯過最近安全情報更新的設備。
- 檢查離線系統、VDI 映像檔和延遲更新環。
- 查看端點日誌是否存在可疑的本機權限升級行為。
- 盡可能限製本地用戶權限。
- 確認 Defender 更新頻道可以存取 Microsoft 服務。
公開揭露提高了緊迫性
微軟表示該問題已公開披露。這一細節增加了緊迫性,因為攻擊者和研究人員可以在某些系統仍未打補丁的情況下研究公共材料。
該公司尚未表示在發布補丁時 CVE-2026-50656 正在被積極利用。儘管如此,公開概念驗證的可用性可以縮短揭露和現實世界攻擊之間的時間。
這微軟安全性更新指南是狀態和補救詳細資訊的主要來源,而蜂鳴聲計算機覆蓋範圍提供了有關公開披露時間表和早期 RoguePlanet 報告的有用背景。
底線
RoguePlanet 展示了為什麼端點保護引擎需要像瀏覽器、作業系統和生產力應用程式一樣快速更新。安全工具處理敏感的系統操作,因此這些工具中的錯誤可能成為高價值的權限升級路徑。
對於大多數使用者來說,實際修復方法很簡單:確保啟用 Microsoft Defender 更新,檢查引擎版本,並確認為 1.1.26060.3008 或更高版本。
對組織來說,應對措施應該更進一步。驗證更新覆蓋範圍、調查異常值、減少本地權限暴露,並將公共本地權限升級錯誤視為對已經站穩腳跟的攻擊者的有用工具。
FAQ
Microsoft Defender 中的 RoguePlanet 是什麼?
RoguePlanet 是 CVE-2026-50656 的公開名稱,它是 Microsoft Defender 使用的 Microsoft 惡意軟體保護引擎中的特權提升漏洞。
哪個 Microsoft Defender 引擎版本修復了 RoguePlanet?
Microsoft 在 Microsoft 惡意軟體防護引擎版本 1.1.26060.3008 中修正了 RoguePlanet。系統應運行該版本或更高版本的引擎版本。
RoguePlanet 可以被遠端利用嗎?
RoguePlanet 是一個本地權限提升漏洞。攻擊者首先需要執行本機程式碼,但成功利用漏洞可能使攻擊者獲得系統級權限。
CVE-2026-50656 是否在野外被利用?
微軟表示該漏洞已公開披露,但並未說明 CVE-2026-50656 在發布修補程式時已被廣泛利用。
如何檢查 Microsoft Defender 是否有修復程式?
開啟 Windows 安全,前往病毒和威脅防護,檢查防護更新,然後開啟關於並確認引擎版本為 1.1.26060.3008 或更高版本。
